Posta kutusundan çıkarıyorsunuz. Eğlenceli, dost cana renklerle basılmış. Çubukla sür. Tükür. Parmağını del. Geri gönder. Yakında kendiniz hakkında yeni bir şey öğreneceksiniz: hormonlarınız, doğurganlığınız, kanser riskiniz, Alzheimer'a yatkınlığınız, metabolizmanız, gıda hassasiyetleriniz veya tüm genomunuz. Evde ("doğrudan tüketiciye") DNA ve sağlık testlerinin cazibesi bu. Gece geç saatte, telefonunuzdan, sigortasız olsanız, meraklı olsanız ya da vücudunuzun hangi sırları sakladığı konusunda endişeli olsanız bile evde yapmak üzere neredeyse her testi sipariş edebilirsiniz.

Kendim bir tane sipariş etmeden önce biraz Google'da araştırma yaptım. İlk başta basit cevaplar arıyordum: Test FDA tarafından incelenmiş mi? Şirket HIPAA kapsamında mı? Bir doktor sonuçları açıklayacak mı? Okudukça işler basit olmaktan çıktı. FDA dili nadirdi ve göründüğünde genellikle belirli bir teste, rapora veya toplama kitine bağlıydı - tüm şirket veya hizmete değil. Bazı şirketler HIPAA uyumlu olduklarını söylüyordu; diğerleri söylemiyordu. Neredeyse tamamı CLIA sertifikalı veya CAP akredite laboratuvarlara atıfta bulunuyordu, ancak bunlar sadece laboratuvar kalite standartlarıydı. Danışmanlık ve takip bakımı da büyük farklılıklar gösteriyordu. Bu beni ince ayrıntılara daha derinlemesine daldırdı: Bilgilerim kolluk kuvvetleriyle paylaşılabilir mi veya reklamlar ya da araştırmalar için kullanılabilir mi?

Cevap, çoğu insanın asla okumadığı politikalardaydı. Ama ben okudum, 10 şirket için: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode ve 23andMe. Bahsettiğim her şirketle yorum için iletişime geçtim. Ayrıca biyoetik, genetik, HIPAA ve sağlık hukuku, FDA düzenlemeleri, tüketici gizliliği ve siber güvenlik alanlarında 12 uzmanla konuştum, ancak sadece altısından alıntı yaptım.

İlk riskim? Biyolojik örneğimi toplamak için kullandığım neşter, çubuk veya tüp değil. Daha erken başlıyor, testi sipariş ettiğimde ve muhtemelen şirket sağlıkla ilgili verileri işlediği için bilgilerimin diğer tıbbi kayıtlar gibi korunduğunu varsaydığımda. ABD'de HIPAA, 1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası, kapsanan kuruluşlar ve iş ortakları tarafından oluşturulduğunda, sürdürüldüğünde veya iletildiğinde kişisel sağlık bilgilerini (PHI) korur. Herkes için geçerli bir gizlilik yasası değildir.

Iowa Üniversitesi Hukuk Fakültesi'nde David H. Vernon hukuk profesörü olan Anya Prince, sağlık ve genetik gizlilik üzerine çalışıyor. Prince, ZDNET'e ana sorunun bir şirketin HIPAA kapsamında olup olmadığı olduğunu söyledi. "DTC laboratuvarları kapsanan kuruluşlar olarak sayılmayabilir," dedi Prince. "Sahip oldukları sağlık bilgileri... PHI olarak değil, şirketin gizlilik politikası tarafından yönetilir." Popüler evde DTC şirketlerine baktığımda, birkaç HIPAA dili kullanımı ve bazı boşluklar bulduğumda şaşırdım. Everlywell, HIPAA kapsamında "kişisel olarak tanımlanabilir sağlık bilgilerinizi korumaya kararlı" olduğunu söyledi. Labcorp, HIPAA kapsamında "sağlık bilgilerinin gizliliğini korumakla yükümlü" olduğunu söyledi. Nucleus bana "HIPAA uyumlu" olduğunu söyledi. SiPhox, "HIPAA düzeyinde güvenlik" olduğunu söyledi ve myLAB Box, kitlerine bağlı bilgi ve örneklerin HIPAA kapsamında "korunduğunu" söyledi. Diğerleri için, şirketin HIPAA uyumlu olduğunu veya HIPAA kapsamında olduğunu doğrulayan güncel bir genel sayfa bulamadım.

Engage Compliance'ın kurucusu ve DTC sağlık ve genetik test şirketleri için dış kaynaklı veri koruma sorumlusu Julian Gage, ZDNET'e "HIPAA düzeyinde" ve "HIPAA uyumlu" iddialarının "koruma değil, pazarlama dili" olduğunu söyledi. "HIPAA düzeyinde şifreleme, bir güvenlik ayarı hakkında bir ifadedir," dedi Gage. "HIPAA'nın size gerçekten uygulanıp uygulanmadığı veya şirketin sonuçlarınızla ne yapabileceği hakkında hiçbir şey söylemez." Örneğin, bir DTC şirketi bir siparişi bir doktor veya tele-sağlık ağı üzerinden yönlendirdiğinde, o klinisyen veya ağın HIPAA kapsamında bir kuruluş olabileceğini ve oluşturduğu ve sakladığı veri diliminin HIPAA kapsamına girebileceğini açıkladı. Ancak bu, test şirketini veya